Das Auswärtige Amt versucht, die digitale Welt sicherer zu machen. Diplomaten des Außenministeriums arbeiten im Rahmen einer Expertengruppe der Vereinten Nationen daran, sogenannte Zero-Day-Exploits – Schadsoftware, die bislang unbekannte Sicherheitslücken ausnutzt – international zu ächten. IT-Sicherheitsexperten halten diesen Plan für notwendig und wichtig, doch stößt er auch auf heftigen Widerstand, vor allem in der eigenen Regierung. Denn der Bundesnachrichtendienst will Zero Days nutzen, um in andere Computersysteme einzudringen.

Zero Days sind so etwas wie die Biowaffen der digitalen Welt: Wer als erster Lücken und Mängel in Software oder Hardware entdeckt, kann sie mit Viren und Trojanern angreifen, gegen die es noch keine Gegenwehr, keine Impfung gibt, da nicht einmal die Hersteller von ihnen wissen. Sie haben null Tage Zeit – daher der Name – eine Abwehr zu entwickeln. Ohne die Chance auf ein Update aber sind die Opfer schutzlos, weswegen Kriminelle und Geheimdienste solche Zero Days für hohe Summen handeln.

Gleichzeitig wird genau deswegen die Nutzung solcher Lücken weltweit kritisiert. Denn werden die Probleme heimlich ausgenutzt, statt sie zu beseitigen, bleiben die Programme und Computer unsicher. Schließlich könnte auch jemand anderes die Schwachstellen finden, wodurch schlimmstenfalls Daten, Geld und im Zweifel das Leben von Millionen Menschen gefährdet werden könnte. Wie bedrohlich Angriffe auf die IT-Infrastruktur sein können, hat nicht zuletzt die Ransomware belegt, mit der im Frühjahr weltweit Firmen, Krankenhäuser und Ministerien attackiert worden waren.

Eine Expertengruppe der Vereinten Nationen hatte daher mit deutscher Beteiligung bereits 2015 dringend empfohlen, dass alle Staaten IT-Sicherheitsprobleme, die sie entdecken, offenlegen und alle Betroffenen informieren (hier der Bericht der Gruppe als PDF). Im englischen Original lautet der entsprechende Absatz: "States should encourage responsible reporting of ICT vulnerabilities and share associated information on available remedies to such vulnerabilities, in order to limit and possibly eliminate potential threats to ICTs and ICT-dependent infrastructure". Die UN-Generalversammlung hat diese Empfehlung anschließend einstimmig verabschiedet. Denn die Welt ist abhängig von der Sicherheit ihrer IT-Infrastruktur.

Moratorium wie bei Giftgas oder Atomwaffen

Zero Days stellen eine Bedrohung der Internet- und der Computersicherheit dar, die so gravierend ist, dass niemand sie verwenden sollte, finden die Diplomaten. Das Internet sollte vielmehr sicher sein vor Zugriffen und Manipulationen. So wie der Einsatz von Giftgas, Streubomben oder Atomwaffen international geächtet ist, sollten sich daher alle Staaten der Welt verpflichten, auch Zero Days nicht auszunutzen. Wer Fehler und Mängel in Soft- und Hardware finde, müsse umgehend alle betroffenen Firmen und Länder informieren.

Bis ein solches Moratorium weltweit verhandelt und anerkannt ist, können Jahrzehnte vergehen. Die Empfehlung der UN sei aber bereits ein erster, wichtiger Schritt, heißt es beim Auswärtigen Amt. Sie sei zwar keine völkerrechtlich bindende Vereinbarung, wohl aber eine sehr starke politische Verpflichtung.

Doch Geheimdienste, auch deutsche, wollen sich dieser politischen Verpflichtung nicht unterwerfen. Vor allem der Bundesnachrichtendienst (BND) ist an Zero Days interessiert und möchte nicht darauf verzichten, sie zu kaufen und einzusetzen. Mehrere Millionen Euro sind dafür in seinem geheimen Etat reserviert. BND-Präsident Bruno Karl sagte gerade in einer öffentlichen Bundestagsanhörung, es sei wichtig, dass der BND im Ausland aufklären könne und dazu seien auch Lücken in Informationssystemen geeignet. "Daher haben wir keinen Grund, solche Aufklärungsmöglichkeiten auszuschlagen."

Ein Verbot von Zero Days würde gleich mehrere Arbeitsbereiche der Sicherheitsbehörden erschweren. Zum Beispiel den sogenannten Staatstrojaner und die Quellen-Telekommunikationsüberwachung. Unter anderem das Bundeskriminalamt soll diese Spähprogramme nutzen, um Computer von Verdächtigen zu durchsuchen. Softwarelücken machen es einfacher, sie aus der Ferne zu installieren. Ohne sie müssten die Beamten versuchen, den Rechner des Verdächtigen in die Finger zu bekommen, was leichter entdeckt werden kann. Aber auch das Cyberkommando der Bundeswehr ist an Zero Days interessiert. Die Soldaten wollen daraus digitale Waffen entwickeln, um die Server von Angreifern attackieren zu können. Der BND schließlich will sie, um damit heimlich zu spionieren, ohne dass die ausgespähten Systeme Alarm schlagen.

Die Folge: In der Bundesregierung wird derzeit darum gestritten, wie mit bislang unbekannten Schwachstellen in Computersystemen umgegangen werden soll.

Offiziell äußert sich die Bundesregierung nur sehr vage zu diesem Streit und ihren Plänen. Der BND selbst schweigt, wie immer in solchen Fällen: Zu "geheimhaltungsbedürftigen Angelegenheiten" äußere man sich nur "gegenüber der Bundesregierung und den zuständigen parlamentarischen Gremien".